Disclaimer: Eu não sou um advogado.
Primeiro, algumas leituras obrigatórias:
Central de Confiabilidade do Microsoft Azure
Contrato de Associado de Negócios HIPAA (BAA)
HIPAA e HITECH Act são leis dos Estados Unidos que se aplicam a entidades de saúde com acesso a informações do paciente (chamadas Informações de Saúde Protegidas ou PHI). Em muitas circunstâncias, para que uma empresa de assistência médica coberta use um serviço em nuvem como o Azure, o provedor de serviços deve concordar em um contrato por escrito para aderir a determinadas disposições de segurança e privacidade estabelecidas na HIPAA e na Lei HITECH. Para ajudar os clientes a cumprir o HIPAA e a Lei HITECH, a Microsoft oferece um BAA aos clientes como adendo de contrato.
Atualmente, a Microsoft oferece o BAA a clientes que possuem um EA (Licenciamento por Volume / Enterprise Agreement), ou um registro apenas do EA do Azure em vigor na Microsoft para serviços no escopo. O EA somente do Azure não depende do tamanho do assento, mas de um compromisso monetário anual com o Azure que permite que um cliente obtenha um desconto sobre o pagamento conforme o preço.
Antes de assinar o BAA, os clientes devem ler as Diretrizes de implementação do Azure HIPAA. Este documento foi desenvolvido para ajudar os clientes interessados no HIPAA e no HITECH Act a entender os recursos relevantes do Azure. O público-alvo inclui agentes de privacidade, agentes de segurança, agentes de conformidade e outros em organizações de clientes responsáveis pela implementação e conformidade da Lei HIPAA e HITECH. O documento aborda algumas das práticas recomendadas para a criação de aplicativos compatíveis com HIPAA e detalha as disposições do Azure para lidar com violações de segurança. Embora o Azure inclua recursos para ajudar a habilitar a privacidade e a conformidade de segurança do cliente, os clientes são responsáveis por garantir que seu uso específico do Azure esteja em conformidade com o HIPAA, a HITECH Act e outras leis e regulamentos aplicáveis,
Os clientes devem entrar em contato com o representante da conta da Microsoft para assinar o contrato.
Pode ser necessário assinar um BAA com seu provedor de nuvem (Azure). Pergunte ao (s) representante (s) de conformidade.
Aqui está o Guia de Implementação do Azure HIPAA .
É possível usar o Azure de uma maneira que esteja em conformidade com os requisitos HIPAA e HITECH Act.
As VMs do Azure e as instâncias SQL do SQL e SQL Server em execução nas VMs do Azure estão no escopo e são suportadas aqui.
O Bitlocker é suficiente para criptografar os dados em repouso. Ele usa a criptografia AES de uma maneira que satisfaça os requisitos HIPAA (bem como os requisitos de outras organizações similares) para criptografia de dados em repouso.
Além disso, o SQL Server não armazenará dados confidenciais e não criptografados na unidade do SO, a menos que você configure o SQL para fazer isso ... como, por exemplo, configurar o TempDB para viver na unidade do SO ou algo assim.
A criptografia de células / campos / colunas em bancos de dados individuais não é estritamente necessária, desde que você já tenha satisfeito os requisitos de criptografia de dados em repouso de outras maneiras, por exemplo, TDE ou Bitlocker.
A maneira como você escolhe gerenciar a chave de criptografia do Bitlocker pode surgir, pois ela não fica dentro de um chip TPM ou em uma unidade USB removível, pois você não tem acesso à máquina física. (Considere que um administrador de sistemas insira manualmente uma senha para desbloquear a unidade de dados toda vez que o servidor reiniciar.) Esse é um dos principais atrativos para serviços como o CloudLink, pois eles gerenciam essa chave de criptografia sagrada para você.